Децентрализованная финансовая платформа Bancor обнаружила уязвимость в последней версии своего смарт-контракта. Некоторые сообщения утверждают, что из платформы было похищено некоторое количество средств.
«18 июня была обнаружена уязвимость в новой версии смарт-контракта BancorNetwork v0.6, развернутого 16 июня 2020 года. Все пользовательские средства находятся в безопасности», — заявила платформа.
Разработчики подчеркнули, что развернута новая версия контракта BancorNetwork, которая устранила уязвимость. Причем средства пользователей были переведены в безопасное место с помощью той самой обнаруженной уязвимости. Однако компания Hex Capital обнаружила утечку пользовательских средств из Bancor в размере $460 тыс.
Looks like a bancor-controlled address drained $460k of at-risk user funds to https://t.co/dkP8i1J7NJ. What is the plan for returning that, and how much user funds were lost to attackers?
— Hex Capital (@Hex_Capital) June 18, 2020
Платформа заявляет, что смарт-контракт прошел аудит, который подтвердил, что средства пользователей не пострадали. Hex Capital утверждает, что разработчики опоздали.
«Не все пользовательские средства были обезопасены. Посмотрите на одну эту транзакцию — почти $100 тыс в токенах BNT ушли по адресу, не контролируемому Bancor», — говорит компания.
Сторонняя команда 1inch.exchange нашла как минимум двух крупных пользователей Bancor, которые присвоили себе средства. По их словам, разработчики Bancor смогли вернуть $409 тыс, но решили об этом не сообщать общественности. Еще $135 тыс захватили боты, таким образом, всего было украдено $544 тыс.
В ответ на инцидент некоторые члены сообщества начали сомневаться в том, действительно ли Bancor провела аудит нового смарт-контракта. Хотя об этом никакой информации нет, анонимный исследователь Фрэнк Топботтом изучил официальный репозиторий на GitHub, в котором упоминается аудит от компании Kanso Labs. Похоже, что Kanso Labs базируется в Тель-Авиве, где также находится большая часть команды Bancor.
По данным Defi Pulse, общая сумма средств, зафиксированных на платформе Bancor, за последние два дня упала с $19 млн до $14,5 млн, однако неизвестно, связано ли это с вмешательством злоумышленников или нет. Так или иначе, для DeFi это очередная неудача.